Con Mobile Device Management (MDM) si intende l’insieme di quelle politiche aziendali, a cui sono collegate una serie di applicativi di controllo, dirette ad assicurare alle aziende i benefici derivanti dall’uso dei dispostivi mobili e al contempo a innalzare le misure di sicurezza specifiche per i fattori di rischio più frequenti, quali smarrimento, furto, intercettazione ecc.
Implementare policy e piattaforme di Mobile Device Management è un requisito essenziale per tutte le imprese moderne, con particolare riferimento a quelle che hanno attivato (o intendono farlo) modalità di lavoro smart. I paradigmi di lavoro agile o ibrido comportano l’adozione pervasiva di strumenti mobile, moltiplicando le sfide aziendali in termini di gestione, aggiornamento, sicurezza e protezione dei dati.
Lo sviluppo delle reti e delle tecnologie mobili ha infatti offerto alle organizzazioni la possibilità di avvalersi di strumenti e modalità di lavoro particolarmente agili e flessibili, di creare veri e propri digital workspace in cui è necessario, per supportare la nuova produttività, semplificare sia l’accesso alle risorse, ai dati e alle applicazioni messi a disposizione dall’azienda, sia la gestione dei dispositivi con cui avviene.
Questa evoluzione, tuttavia, nasconde un rovescio della medaglia in termini di sicurezza delle informazioni e, di conseguenza, è necessario pianificare, monitorare e presidiare l’uso di questi strumenti.
Un’efficace Mobile Device Management prende in considerazione la triade di asset composta da reti, dispositivi e persone.
Oggi più che mai, con l’affermarsi del paradigma di modern workplace è necessario definire che cosa sono i device aziendali, in quanto si tratta degli strumenti pratici che consentono l’applicazione di questo nuovo modello lavorativo.
Per device aziendali, come abbiamo già visto, si intendono essenzialmente tutti gli strumenti tecnologici come smartphone, tablet, laptop ecc. così come i loro accessori utili (anche) per svolgere il proprio lavoro. Naturalmente i device aziendali per eccellenza sono quelli sempre connessi che offrono la possibilità di lavorare in mobilità, come gli smartphone e i tablet, divenuti ormai essenziali in tutti i settori.
Fino a qualche anno fa, i device aziendali venivano gestiti secondo il modello BYOD (Bring Your Own Device) ovvero l’integrazione dei dispositivi personali per uso lavorativo. Vale a dire, permettere ai dipendenti e collaboratori di utilizzare il proprio computer o smartphone aumentando produttività e flessibilità al tempo stesso.
Il sistema BYOD ha però evidenziato rischi in termini di protezione dei dati personali e aziendali dovuti all’introduzione di dispositivi esterni all’interno delle reti e dei sistemi delle imprese. Ecco perché oggi è sempre meno diffuso.
L'approccio BYOD è stato superato da un modello più affidabile: il COPE (Corporate Owned Personally) che cambia la gestione del device aziendale. In questo scenario, è l’azienda a fornire al dipendente i device per lavorare in mobilità, eliminando così ogni eventuale problema di compatibilità e potendo assicurare (grazie agli strumenti di protezione) un livello di sicurezza maggiore.
Oltre ad aumentare la produttività dei dipendenti, questo modello garantisce ai reparti IT un controllo più ampio che si rivela fondamentale per preservare la data integrity aziendale. Fondamentale, in questo senso, è la componente “corporate owned”, quindi la proprietà aziendale dei device utilizzati da dipendenti, manager e collaboratori. Questo significa anche che sarà l’azienda a gestire l’intero ciclo di vita di un device: dall’acquisto alle manutenzioni fino alla dismissione.
Al di là dei singoli approcci, la tendenza è chiara: centralizzare la gestione di tutti i device ma anche delle app, dei contenuti e degli asset dell’impresa, dei servizi all’interno di una piattaforma unica completamente integrata.
Come supportare una mobile strategy senza compromettere la sicurezza delle informazioni? È necessario pianificare con attenzioni gli usi dei dispositivi attraverso una serie di misure di MDM e mobile security.
Il primo passo è fare chiarezza sugli obiettivi e i vincoli di contesto, in modo da poter definire un perimetro di sicurezza. L’organizzazione dovrà assicurarsi una costante capacità di governance centralizzata degli strumenti e per questo è sempre necessaria una catalogazione degli asset, in base alla quale essere in grado di ricostruire quali e quanti sono i dispositivi in uso. Ciò deve avvenire attraverso una schedatura del modello e di codici identificativi univoci, come l’IMEI, oltreché degli affidatari e degli usi consentiti, sempre subordinati al raggiungimento degli obiettivi aziendali.
Sulla base delle finalità individuate, le organizzazioni devono predisporre anche specifiche politiche relative ai software utilizzati. In particolare, devono essere determinati quali applicativi sono necessari o consentiti, e al contempo va messa in atto un adeguato supporto tecnico, stabilendo come devono essere monitorati e con quali modalità aggiornati e patchati.
Aspetto core è determinare con quali modalità è possibile accedere alla rete aziendale, intesa non solo come infrastruttura, ma più in generale come tutte le risorse disponibili attraverso essa. Questo si traduce in una procedura di autenticazione dell’utente o direttamente dello stesso dispositivo (attraverso dei codici riconosciuti), a cui correlare un certo grado di autorizzazioni.
Inoltre, per evitare che una minaccia, che è riuscita a prendere il controllo di un dispositivo, possa allargarsi all’intera rete aziendale, è necessario un monitoraggio continuo degli accessi, in modo che possa essere immediatamente individuato ogni comportamento anomalo e il dispositivo venga immediatamente bloccato.
Quanto alla mitigazione delle minacce di furto, smarrimento, danneggiamento e intercettazione è necessario predisporre una serie di misure che può essere così strutturata:
Partendo dal presupposto che una prima linea di difesa è quella di sensibilizzare e responsabilizzare gli end user sulla protezione fisica dei dispositivi mobili, un secondo elemento è costituito dalla protezione logica: la protezione della riservatezza passa attraverso un’efficace criptazione delle memorie del dispositivo e un sistema di autenticazione locale, ma anche nella possibilità di svolgere una disattivazione e una cancellazione dei dati da remoto.
La preservazione della disponibilità dei dati richiede invece un efficace piano di back-up, ovviamente su un server remoto, che consenta il recupero delle informazioni anche quando il dispositivo viene compromesso.
In conclusione, il Mobile Device Management richiede scelte organizzative e strumenti software adeguati ad assicurare flessibilità e sicurezza. Le conoscenze sul tema sono ormai mature, come dimostra il numero di linee guida, normative e soluzioni software disponibili sul mercato.